【超级详细】零基础也能学会的网工知识：ACL访问控制技术及配置实验

ACL访问控制技术

访问控制列表（Access Control Lists，ACL）是一种由一条或多条指令的集合，指令里面可以是报文的源地址、目标地址、协议类型、端口号等，根据这些指令设备来判断哪些数据接收，哪些数据需要拒绝接收。它类似于一种数据包过滤器。从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

 如图：可以通过配置ACL来实现限制主机A、主机B访问互联网，限制主机C、主机D访问服务器。

ACL结构

ACL是由一系列permit（允许）或deny（拒绝）语句组成的有序规则的列表，它单独是无法使用的，需要应用在业务模块中才能生效，如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。

ACL组成如上图所示：

1. 访问控制列表编号：在配置ACL时，每个ACL都会分配一个编号，不同编号代表不同的ACL；
2. 规则：一个ACL通常由一条或多条“permit/deny”语句组成，一条语句就是一条规则；
3. 规则编号：每条规则都有一个相应的编号，用来标识ACL规则，可以由用户指定；
4. 动作：permit代表允许，deny代表拒绝，用来给规则设定相应动作；
5. 匹配项：可以是源MAC地址、目的MAC，目的地址、协议类型等。

如：rule 10 permit source 1.1.1.0 0.0.0.255

代表：规则10允许源地址为1.1.1.0/24网段地址的报文通过。

ACL分类

1. 基本ACL ( 2000-2999) :用报文的源IP地址、分片时间和生效时间段来定义规则。
2. 高级ACL ( 3000-3999) :可以匹配源ip、目标ip、 源端口、目标端口等三层和四层的字段。
3. 二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
4. 用户自定义ACL（5000-5999）：使用报文头、偏移位置、字符串掩码、用户自定义字符串来定义规则。
5. 用户ACL（6000-6999）：可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端口来定义规则；

ACL应用原则

 

ACL匹配位置：inbound和outbound

基本ACL尽量用在靠近目的端

高级ACL尽量用在靠近源端的地方(可以保护带宽和其他资源)

ACL匹配机制

ACL的匹配机制概括来说就是：

• 配置ACL的设备接收报文后，会将该报文与ACL中的规则逐条进行匹配，如果不能匹 配上，就会继续尝试去匹配下一条规则。
• 一旦匹配上，则设备会对该报文执行这条规则中定义的处理动作，并且不再继续尝试 与后续规则匹配。
• 在存在多条规则的情况下，ACL会访问优先级最编号最小的规则。

ACL实验配置

实验拓扑：

• 使用基本ACL进行数据过滤

实验目的：

1. 部署基本ACL实现数据过滤
2. 实现PC1无法访问PC3

拓扑如图所示：

（1）在AR1上配置如下：

<Huawei>sys

[Huawei]sysname AR1

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24  //配置端口IP

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 192.168.3.1 24

[AR1]rip    //使用动态路由协议RIP

[AR1-rip-1]version 2   //RIP版本为RIPv2

[AR1-rip-1]network 192.168.1.0  //宣告192.168.1.0网段

[AR1-rip-1]network 192.168.3.0  //宣告192.168.3.0网段

（2）在AR2上配置如下：

<Huawei>sys

[Huawei]un in en

[Huawei]sysname AR2

[AR2]int g0/0/1

[AR2-GigabitEthernet0/0/1]ip add 192.168.3.2 24

[AR2-GigabitEthernet0/0/1]int g0/0/2

[AR2-GigabitEthernet0/0/2]ip add 192.168.4.2 24

[AR2-GigabitEthernet0/0/1]int g0/0/0

[AR2-GigabitEthernet0/0/0]ip add 192.168.2.254 24

[AR2]rip

[AR2-rip-1]version 2

[AR2-rip-1]net 192.168.2.0

[AR2-rip-1]net 192.168.3.0

[AR2-rip-1]net 192.168.4.0

（3）在AR3上配置如下：

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip add 192.168.4.3 24

[Huawei-GigabitEthernet0/0/0]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip add 192.168.5.254 24

[Huawei]rip

[Huawei-rip-1]version 2

[Huawei-rip-1]net 192.168.4.0

[Huawei-rip-1]net 192.168.5.0

（4）在各PC上配置相关IP地址和网关

（5）测试PC1与PC3的连通性

（6）在AR3上配置ACL

[Huawei]acl 2000    //创建基本ACL，编号为2001

[Huawei-acl-basic-2000]rule deny source 192.168.1.1 0

//规则（默认为5）拒绝192.168.1.1IP地址访问

[Huawei-acl-basic-2000]int g0/0/1

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

//在端口g0/0/1上应用ACL2000,设置在outbound方向

（7）配置ACL后，测试PC1与PC3的连通性

 

非常感谢你的阅读 

我是薄荷学姐，一个菜鸡网工远程技术支持❤️

想要成为网络工程师和学习华为认证的HCIA/HCIP/HCIE的，可以直接留言+私我呀~【非常感谢你的点赞、收藏、关注、评论，一键三连支持】